MortalKombat Ransomware
Din decembrie 2022, un actor de amenințare neidentificat a folosit două programe de amenințare relativ noi - MortalKombat Ransomware și o variantă GO a programului malware Laplas Clipper - pentru a colecta criptomonede de la victimele lor. Atacatorul a scanat internetul pentru mașini vulnerabile cu un port 3389 de protocol desktop la distanță (RDP) expus, pe care apoi îl utilizează pentru a obține acces neautorizat la sistemul victimei. Pentru a facilita acest atac, atacatorul a folosit unul dintre serverele lor de descărcare, care găzduiește și MortalKombat Ransomware. Detalii despre instrumentele malware utilizate și campania de atac au fost publicate într-un raport de cercetătorii de malware.
După ce au analizat codul, numele clasei și șirurile de chei de Registry ale ransomware-ului MortalKombat, cercetătorii au concluzionat cu mare încredere că amenințarea aparține familiei de ransomware Xorist . Această tulpină de ransomware este cunoscută pentru că folosește algoritmi puternici de criptare pentru a cripta fișierele victimei și apoi solicită o plată de răscumpărare în schimbul cheii de decriptare.
Lanțul de infecție în mai multe etape care implementează MortalKombat Ransomware
Campania de atac începe de obicei cu un e-mail de phishing. Atacatorii livrează, de obicei, fie malware, fie ransomware prin e-mail și apoi continuă să-și acopere urmele ștergând orice dovezi ale fișierelor corupte. Acest lucru face dificil pentru cercetătorii infosec să analizeze operația.
E-mailul inițial de phishing conține un fișier ZIP compromis care are un script de încărcare BAT. E-mailul de atracție este prezentat ca și cum ar proveni de la gateway-ul global legitim pentru criptomonede CoinPayments. Desigur, entitatea nu este în niciun fel conectată la aceste mesaje de e-mail.
În plus, pentru a-și păcăli și mai mult țintele, e-mailurile au un e-mail al expeditorului falsificat.
Când victima deschide scriptul de încărcare, aceasta descarcă automat un alt fișier ZIP rău intenționat de pe un server de găzduire controlat de atacator pe computerul victimei. Scriptul umflă apoi fișierul și execută sarcina utilă. Sarcina utilă poate fi fie varianta GO a Laplas Clipper malwa, fie MortalKombat Ransomware.
Scriptul de încărcare rulează sarcina utilă implementată ca proces pe computerul victimei și apoi elimină toate fișierele nesigure descărcate și aruncate pentru a elimina marcatorii de infecție.
Capacitățile de amenințare ale ransomware-ului MortalKombat
Se știu puține despre creatorii MortalKombat Ransomware sau despre strategia lor operațională. Atât numele ransomware-ului, cât și imaginea de fundal pe care îl aruncă pe sistemul victimei sunt un semn de cap către populara franciză media Mortal Kombat, care include o serie de jocuri video și filme.
MortalKombat are capacitatea de a cripta o gamă largă de fișiere de pe mașina victimei, inclusiv fișiere de sistem, aplicație, bază de date, backup, mașini virtuale, precum și fișiere din locații la distanță mapate ca unități logice. Aruncă o notă de răscumpărare și schimbă imaginea de fundal de pe computerul victimei după criptarea fișierelor. Cu toate acestea, MortalKombat nu afișează niciun comportament de ștergere și nu șterge Copiile Shadow Volume de pe computerul victimei. În schimb, corupe Windows Explorer, elimină folderele și aplicațiile de la pornirea Windows și dezactivează fereastra de comandă Run, făcând mașina inoperabilă.
Criminalii cibernetici din spatele amenințării folosesc qTOX, o aplicație populară de mesagerie instantanee disponibilă pe GitHub, pentru a comunica cu victimele lor. În plus, oferă o adresă de e-mail - „hack3dlikeapro[at]proton[.]me”, ca mijloc alternativ de comunicare.
În general, MortalKombat este un ransomware extrem de amenințător, care poate provoca daune grave aparatelor victimelor și poate duce la pierderea de date valoroase. Ar trebui să rămâneți vigilenți împotriva unor astfel de amenințări și să luați măsuri proactive pentru a securiza sistemele împotriva atacurilor ransomware.
